今日は残業無し！と言うのも今日は通院だったからだ。まだやりたいこと、というか調べないといけないことがあったが、来週にまわした。まあいいや。

今日は久々にＧメンをやった、というかやらされた、というか、なんというか。リアルタイムで監視しているのとは別に外部の業者に監視してもらい、不正な通信を毎日レポートしてもらっているのだが、それにBitTorrentとうP2Pアプリの使用らしき報告があったのだ。リアルタイムの監視システムではalertが出ていない。なんでだろう。

とりあえず調べた。IPマスカレードで変換されたSrcIPとDstIPからファイアウォールのログを辿って変換前のプライベートアドレスを割り出し、そこからコアスイッチにログインしてarp情報からMACアドレスを割り出し、通信先のエッジスイッチのarp情報からポートを割り出し、ポートがわかればどの居室のどの情報コンセントかまで特定できる。

と言うのは全部SEさんがやってくれた。その時間帯の通信ログを確認したところ、確かに少し怪しい挙動はあるものの、P2Pとは断定できないような感じ。

とりあえずＧメンとして居室に行ってみた。そこには一人しかいなかったが、協力してくれて、どのＰＣかはわかった。本人は今日は休みだったが、ＰＣは起動しっぱなしだったので、その居室の人の許可を得てＰＣを見てみたが、BitTorrentも他のP2Pソフトも入ってない。

ひょっとしたまたか〜？実は先週もあったのだが、ファイルを高速にダウンロードできるソフトで、内部的にBitTorrentクライアントを使って実装されているものがあるのだ。「そういうものを使ってたりしませんか？」と尋ねたところ、「ああ、彼なら使ってそうです」との答え。

今日は本人もいないし、とりあえあずその場を後にした。来週本人が来たら、どういうソフトを使っているか確認して、自分たちでも再現実験をしてみよう。

そしてリアルタイムで監視している方が検知しなかった理由。これが見えてきた。こちらのRulesでは、BitTorrentらしきパターンでも、そのようなアプリ内の通信だということを判別して、alertは出さないようにしているのかもしれない。

ということで、なんだかくたびれたよ、今日は。病院はすいているように見えていて実は混んでいて、全部終わったら20時半。なんかだるくて、それから卓球に行く気もなく、帰ってきた。土日はゆっくり休もう。

昨日はやっと一連のトラブルの「中期的には効果のある」対応ができた。しかしそれにしても苦戦した。

そもそもの発端は、私の前任者がいろいろなものを試してみるためのFreeBSDのサーバに、IDSで検知したalertとか、チーム内でのテーマ管理システムを全部同じMySQLの中に作ってしまい、そのままずるずると運用してきたことだ。そのDBに割り当てられたディスク領域が、たった15GBしかなかったのだ。

昨日SEさんが、余ってるHDDがあって、容量は80GBというので、それを増設してもらい、マウントしてMysQLのデータをそちらに移した。これで当面は大丈夫だろう。しかし苦労した。BSDはユーザとして使った経験はあるが、この辺のレベルからやったことはないので、やり方がわからなかったのだ。HP-UXだとSAMとかあったのだが、結局いろいろ教えてもらってmountできた。しかしまあ、うちの会社で動いているサーバはほとんどFreeBSDである。BSDの勉強をしなくては。

しかし、まだまだ課題はある。容量がでかくなったから安心とは言え、まだ古いデータを引き落とすような運用はない。そういうものをちゃんと作り込まないと、そのうちまた溢れる。それから、緊急避難的にDBのトランザクションログの出力を止めてしまったのだが、そうすると障害時に復旧できなくなる。毎日夜中にcronでMySQLのデータはテープにバックアップしているので、その時点でそれまでのトランザクションログは不要になるので、そこで削除すればいい。その日に何か障害があっても、バックアップ以降のトランザクションログがあればロールフォワードができる。

てなことで、まだまだ課題は山積みであるが、これって私の仕事のメインなことではないんだよなあ。あ、ユーザから依頼が来ていたDMZへのサーバ設置、グローバルIP申請書を書いて本部に送らなければ。監査のための準備もしないといけない。WLCでVLANが16個までしか登録できない件の打ち合わせ、業者と日程調整もしないといけないのに、昨日は忘れていたよ。楽しいことがあったから。

楽しいこととは、PCが２台増えたのだ。今までノートPC２台で苦労していたのだが、DELLのPCがやっと来た。これをメインマシンとして使うのだ。２０インチの大画面。IDSのモニタリング画面がきっちり収まる。それから同じチームの人が、あまっているキューブPCをくれた。こいつはUNIX環境が手元にほしいと思っていたから、ちょうどいい、勉強用にFreeBSDを入れてみよう。

これでみんなと同じくＰＣ４台構成になった。１つはメインマシン、１つはネットワーク管理用（つなぐＬＡＮが違う）、１つはファイやウォール管理用（これもつなぐＬＡＮが違う）、もう1つはUNIX環境である。いちいちつなぎ変えをしなくてもすむ。

今日も２時間残業。バスの中でこれを書いてる。でも一連のトラブルはひとまずこれで一段落して、これで後は根本的な対策をゆっくりすればいい。

あまり疲れは感じないが、疲れはたまっているはずだ。今日も疲れをとりながら帰ろう。

昨日はまたまたトラブルだった。この前のトラブルの暫定対応が甘かった。ディスクが溢れていたのをなんとか減らしたのだが、それでもあっというまに溢れてしまったのだ。

そもそもネットワークチームは３人。サーバチームをあわせても５人。私の前任者はものすごく優秀な人だったらしく、その人が一人で構築して一人で面倒をみていたものがたくさんある。そんな人の後任となってしまった今、とにかく調べまくりである。

けっこうドキュメントは残している人だったが、基礎的な知識がないことにはどうにもならない。昨日の場合、MySQLがバイナリログというトランザクションログを大量に吐き出しているのが原因だ、というところまではわかったが、消していいのか、消すにはどうやったらいいのか、そもそも毎晩exportしてバックアップをとっているから、このログは出さなくてもいいのだが、出さなくするにはどう設定を変えればいいのか。

それらをネットで必死に調べて、なんとか見つけたもののMySQLの管理者ユーザのユーザ名／パスワードがわからず手が出ない。知っていそうな人はみんな帰ってしまっていた。

一緒に調べていたもう一人の人が、exportしたバックアップのディレクトリをとりあえず他に移したらいいんじゃない？と言われ、ああそうかと思って空いているディスクにmvしてシンボリックリンクを張っておいた。無事ディスクの空き容量がだいぶ増えた。そしてとりあえずMySQLのコンフィギュレーションファイルを修正してバイナリログを出さないようにし、MySQLのサービスを再起動して帰ってきた。

家に帰ってきて、本当にバイナリログが増えてないか、タイムスタンプを確認したくなって、会社にVPNで接続しようとしたら、何回パスコードを入れても認証が通らない。そして何回か続けて間違えたのでロックアウトされてしまった。そして気がついたら、必死に打ち込んでいたトークンの数字、そのトークンはジャパンネット銀行のものであった。うわ〜ん紛らわしいんだよ〜。しかたがない、今日ロックを解除してもらおう。

ただいま20:30。やっと帰りのバスに乗ったところ。またトラブって大変だった。暫定対応が甘かった。

疲れたけど、体を緩めて腹式呼吸をして、疲れをとりながら帰ろう。